Google a donné 90 jours à Microsoft pour corriger une faille de sécurité; Microsoft a échoué
Les chercheurs en sécurité du Project Zero de Google ont signalé publiquement une énorme faille de sécurité dans Microsoft Edge qui permet de charger un code malveillant en mémoire. Cependant, Microsoft a été informé du bogue de sécurité et s'est vu accorder 90 jours pour le corriger jusqu'à ce qu'il soit rendu public. Apparemment, Microsoft n'a pas respecté le délai.
Des chercheurs de Google ont signalé une faille de sécurité dans le navigateur Microsoft Edge Arbitrary Code Guard (ACG)[1] fonction en novembre 2017. Microsoft a demandé une prolongation du délai et Google a donné 14 jours supplémentaires pour corriger le bogue et le fournir dans le Patch Tuesday de février.
Cependant, les correctifs de Microsoft de ce mois-ci n'avaient pas de correctif pour cette vulnérabilité. L'entreprise affirme que "le correctif est plus complexe qu'initialement prévu". Le correctif devrait être publié lors du prochain Patch Tuesday, le 13 mars.[2] Cependant, ce n'est pas confirmé.
La vulnérabilité Microsoft Edge est signalée sur le blog Chromium
Les utilisateurs de Microsoft Edge ne devraient plus se sentir en sécurité. Google a publié les informations sur le bogue et son fonctionnement. Ainsi, toute personne qui recherche une faille à exploiter afin de lancer une cyberattaque peut désormais en profiter.
Le chercheur de Google Ivan Fratric a découvert une vulnérabilité dans Arbitrary Code Guard (ACG) de Microsoft qui a été classée comme "moyen." La faille affecte le compilateur Just In Time (JIT) pour JavaScript et permet aux attaquants de charger un programme malveillant code. Le problème est décrit dans le blog Chromium :[3]
Si un processus de contenu est compromis et que le processus de contenu peut prédire sur quelle adresse le processus JIT va appeler VirtualAllocEx() ensuite (remarque: c'est assez prévisible), le processus de contenu peut :
1. Démapper la mémoire partagée mappée ci-dessus à l'aide de UnmapViewOfFile()
2. Allouez une région de mémoire accessible en écriture à la même adresse que le serveur JIT va y écrire et y écrire une charge utile bientôt exécutable.
3. Lorsque le processus JIT appelle VirtualAllocEx(), même si la mémoire est déjà allouée, l'appel réussira et la protection de la mémoire sera définie sur PAGE_EXECUTE_READ.
Ce n'est pas la première fois que Google révèle publiquement des failles dans les produits Microsoft
En 2016, des chercheurs de Google ont découvert une faille dans Windows 10. La situation était similaire. Microsoft a été informé de la vulnérabilité qui permettait aux attaquants d'installer une porte dérobée sur un ordinateur Windows.
Cependant, Google n'est pas resté longtemps silencieux. Il leur a fallu seulement 10 jours pour divulguer une vulnérabilité « critique ». À l'époque, Google avait déployé un correctif pour les utilisateurs de Google Chrome. Cependant, le système d'exploitation Windows lui-même reste vulnérable.
Après l'annonce de la vulnérabilité critique il y a deux ans, le porte-parole de Microsoft a déclaré que "la divulgation par Google expose les clients à un risque potentiel".[4]
L'année dernière, Google a fait état de « fous mauvais »[5] vulnérabilité dans Windows 10 qui permettait l'exécution de code à distance. Cependant, Microsoft a réussi à résoudre le problème avec les dernières mises à jour de Patch Tuesday. Cependant, il semble qu'il soit possible de résoudre les problèmes de sécurité à temps.